La Junta de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) ha
publicado una auditoría del estándar PCI DSS 3.2.1. Según los representantes de la organización, este lanzamiento incluye solo aclaraciones menores, pero es una etapa preparatoria antes del lanzamiento de una nueva versión del estándar, que se espera para 2020. Lo que se hizo y por qué, lo contamos a continuación.
/ foto Blue Coat Photos CC¿Qué y por qué han cambiado?
Solo tenga en cuenta que no hay nuevos requisitos en esta versión. Según Troy Leach, director técnico de PCI SSC, el objetivo 3.2.1 es eliminar la confusión con las fechas.
La versión realiza tres cambios en el documento principal:
- Todas las notas se eliminaron cuando, el 1 de febrero, se mencionó el estándar PCI DSS 3.2 en el momento de la entrada en vigor. Esto se hace para eliminar la posible confusión, ya que esta fecha está "en el pasado".
- Ahora MFA (autenticación multifactor) no es una medida compensatoria de control. Para el acceso administrativo no desde la consola, la autenticación multifactor es obligatoria: las contraseñas de un solo uso pueden actuar como una herramienta de control de acceso.
- Se ha agregado una nota de que después del 30 de junio de 2018, solo los terminales POS y POI y sus nodos que se conectan a la red del proveedor pueden usar SSL / TLS debajo de la versión 1.2. En otros casos, debe usar TLS 1.2.
El documento estándar completo se publica
en el sitio web oficial PCI SSC , y se
puede encontrar información sobre otras ediciones más pequeñas
en el documento oficial . A continuación, analizaremos quién se verá afectado por los cambios anteriores.
Por qué las organizaciones necesitan actualizar a TLS 1.2
Según PCI DSS, el 30 de junio, las organizaciones (a excepción del caso indicado anteriormente) tendrán que cambiar a protocolos de encriptación de datos más seguros, por ejemplo, TLS versión 1.2 o superior.
El requisito se debe al hecho de que SSLv3 y versiones anteriores de TLS
descubrieron vulnerabilidades, por ejemplo, la posibilidad de un ataque POODLE. Permite a un atacante extraer información cerrada de un canal de comunicación encriptado.
En el tráfico encriptado, puede encontrar y aislar bloques especiales con etiquetas enviadas al sitio por código malicioso escrito en JavaScript. El atacante envía una serie de solicitudes falsas, obteniendo así la capacidad de reconstruir carácter por carácter el contenido de los datos que le interesan, como las cookies.
El peligro principal es que un hacker
puede obligar a un cliente a usar SSLv3, emulando desconexiones. Por lo tanto, PCI SSC insiste en la introducción de TLS 1.2 hasta el 30 de junio. Todas las empresas que aún no hayan completado la transición
deben presentar una solicitud a la empresa con el estado de Proveedor de escaneo aprobado (ASV) y recibir evidencia documental de que están implementando un plan de reducción de riesgos y completarán la migración a la fecha límite.
Puede encontrar información sobre el procedimiento de migración, los requisitos relevantes y las preguntas frecuentes en el
apéndice del estándar publicado por PCI SSC .
/ foto Blue Coat Photos CC¿Quién se verá afectado por los cambios?
Los cambios
afectarán a los proveedores de servicios y las empresas comerciales. Los proveedores pueden permitir que los comerciantes usen protocolos SSL / TLS obsoletos solo si el proveedor mismo ha confirmado la disponibilidad de controles que reducen los riesgos de establecer tales conexiones. Al mismo tiempo, los proveedores de servicios deben informar regularmente a sus clientes sobre posibles problemas al usar versiones anteriores de SSL.
En cuanto a las propias empresas comerciales, se les permite usar SSL / TLS si sus terminales POS y POI están protegidos de vulnerabilidades de protocolo conocidas. Sin embargo, con el advenimiento de nuevas vulnerabilidades potencialmente peligrosas, los protocolos de los terminales deberán actualizarse de inmediato.
Una vez más sobre el momento
La fecha límite para implementar los requisitos de la versión anterior de la norma (3.2) es el 31 de diciembre de 2018. Implemente los requisitos de PCI DSS 3.2.1 antes del 1 de enero de 2019.
En cuanto al desarrollo de una nueva versión del estándar, ya está en marcha. Con este fin, PCI SSC todavía está recopilando y analizando los comentarios de las organizaciones miembros de la comunidad. Un lanzamiento completo de PCI DSS está programado para 2020.
PD Algunos materiales del primer blog corporativo de IaaS:
Materiales de PPS sobre el tema del blog sobre Habré: